Politique de confidentialité

Dernière mise à jour : 25 avril 2026

Cette politique décrit comment Aria collecte, utilise et protège vos données personnelles. Elle est conforme au Règlement Général sur la Protection des Données (RGPD — Règlement UE 2016/679) et à la loi Informatique et Libertés modifiée.

1. Responsable de traitement

Le responsable du traitement des données personnelles est Nicolas d'Avout, entrepreneur individuel exerçant sous le nom commercial « IA Conseil », adresse : 136 boulevard Malesherbes, 75017 Paris.

Contact pour toute question relative aux données personnelles : contact@aria-assistant.fr

2. Données collectées et finalités

Aria collecte les catégories de données suivantes :

a. Données de compte

Nom, prénom, adresse email, mot de passe (haché). Collectées lors de l'inscription pour créer et sécuriser votre compte.

Base légale : exécution du contrat (article 6.1.b RGPD)

b. Données issues de votre compte Google

Avec votre autorisation explicite via OAuth, Aria accède à votre Gmail (lecture des messages, métadonnées) et Google Calendar (événements, participants). Ces données sont nécessaires à la fonction d'assistant intelligent.

Base légale : consentement explicite (article 6.1.a RGPD) et exécution du contrat

Sécurité : les jetons d'accès Google sont chiffrés au repos avec AES-256-GCM via le coffre-fort Supabase Vault. Ils ne sont jamais stockés en clair.

Conformité Google API Services

L'utilisation par Aria des informations reçues des APIs Google adhère à la Google API Services User Data Policy, y compris aux exigences Limited Use.

Scopes Google demandés et usage

Aria demande l'autorisation d'accéder aux scopes suivants, strictement nécessaires à son fonctionnement :

  • Google Calendar (calendar) : lire et modifier votre agenda pour planifier automatiquement vos tâches dans vos créneaux libres et anticiper vos événements à venir.
  • Gmail lecture (gmail.readonly) : lire le contenu et les métadonnées de vos emails pour les trier, prioriser, résumer, et identifier les actions requises.
  • Gmail envoi (gmail.send) : envoyer des emails en votre nom, uniquement après votre validation explicite à chaque envoi.

Engagements Limited Use

Conformément aux exigences Google :

  • Aria ne vend ni ne transfère vos données Google à des tiers à des fins publicitaires, marketing, scoring de crédit, ou toute autre finalité non liée au service.
  • Aria n'utilise pas vos données Google pour entraîner des modèles d'IA non personnalisés ou généralisés. Les modèles que nous utilisons (Anthropic Claude) traitent vos données pour vous fournir le service mais ne les conservent pas pour leur propre apprentissage.
  • Aucun humain ne lit vos données Google sauf si (a) vous nous donnez votre accord explicite pour résoudre un problème technique spécifique, (b) cela est nécessaire pour la sécurité (par exemple investigation d'un abus), (c) requis par la loi, ou (d) sur des données agrégées et anonymisées pour notre fonctionnement interne.
  • Aucun usage publicitaire ou de retargeting n'est fait à partir de vos données Google, ni directement ni indirectement.

c. Données de paiement

Aria n'a jamais accès à vos informations bancaires. Les paiements sont traités directement par Stripe, prestataire certifié PCI-DSS. Aria reçoit uniquement un identifiant client et l'état de vos abonnements.

Base légale : exécution du contrat

d. Données techniques (logs)

Adresse IP, type de navigateur, horodatage, pages consultées. Collectées automatiquement pour assurer la sécurité, détecter les abus, et corriger les bugs.

Base légale : intérêt légitime (article 6.1.f RGPD)

e. Conversations avec l'assistant IA

Les messages que vous échangez avec l'assistant Aria sont conservés pour permettre la continuité des conversations et corriger d'éventuels bugs. Ils sont transmis à notre prestataire d'IA (Anthropic) le temps de générer la réponse. Les messages ne sont pas utilisés pour entraîner des modèles d'IA.

Base légale : exécution du contrat

3. Sous-traitants

Aria fait appel à des sous-traitants pour fournir le service. Chacun est lié par un contrat conforme à l'article 28 du RGPD :

  • Vercel Inc. (États-Unis) — hébergement de l'application. Transferts encadrés par les Clauses Contractuelles Types de la Commission européenne.
  • Supabase Inc. — base de données (région UE), authentification, coffre-fort de chiffrement.
  • Stripe Payments Europe Ltd (Irlande) — traitement des paiements.
  • Anthropic PBC (États-Unis) — fournisseur du modèle d'IA Claude. Anthropic ne réutilise pas les données pour entraîner ses modèles dans le cadre de notre contrat. Transferts encadrés par les Clauses Contractuelles Types.
  • Google LLC (États-Unis) — fournisseur de Gmail et Google Calendar. Vous restez libre de révoquer à tout moment l'accès accordé à Aria depuis votre compte Google.
  • Sentry Inc. (États-Unis) — monitoring d'erreurs. Les données personnelles sensibles sont automatiquement masquées avant transmission.

4. Durée de conservation

  • Données de compte : conservées tant que le compte est actif. Supprimées dans un délai de 30 jours après résiliation, sauf obligation légale de conservation.
  • Données Gmail / Calendar : conservées tant que l'intégration est connectée. Supprimées immédiatement lors de la déconnexion ou la résiliation.
  • Conversations IA : conservées jusqu'à la résiliation du compte ou suppression manuelle par l'utilisateur.
  • Factures et données comptables : conservées 10 ans conformément à l'article L.123-22 du Code de commerce.
  • Logs techniques : 12 mois maximum.

5. Vos droits

Conformément au RGPD, vous disposez des droits suivants sur vos données personnelles :

  • • Droit d'accès (article 15)
  • • Droit de rectification (article 16)
  • • Droit à l'effacement / « droit à l'oubli » (article 17)
  • • Droit à la limitation du traitement (article 18)
  • • Droit à la portabilité (article 20)
  • • Droit d'opposition (article 21)
  • • Droit de retirer votre consentement à tout moment (article 7.3)

Pour exercer ces droits, écrivez à contact@aria-assistant.fr. Nous répondons sous un mois maximum.

En cas de différend persistant, vous pouvez introduire une réclamation auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

6. Sécurité des données

Aria met en œuvre des mesures de sécurité techniques et organisationnelles :

  • • Chiffrement TLS 1.3 pour tous les échanges
  • • Chiffrement AES-256-GCM des jetons d'accès OAuth Google au repos via le coffre-fort Supabase Vault
  • • Authentification renforcée et sessions expirantes
  • • Accès à la base de données restreint et audité
  • • Sauvegardes quotidiennes chiffrées
  • • Monitoring continu des incidents de sécurité (Sentry)

En cas de violation de données susceptible de présenter un risque pour vos droits et libertés, vous serez notifié dans les meilleurs délais et au plus tard 72 heures après que nous en aurons eu connaissance, conformément à l'article 34 du RGPD.

7. Cookies

Aria utilise uniquement des cookies strictement nécessaires au fonctionnement du service :

  • Cookies de session : identifient votre connexion authentifiée
  • Cookies de sécurité : protègent contre les attaques CSRF

Aucun cookie de suivi publicitaire ou d'analyse comportementale n'est déposé. Aucun consentement préalable n'est requis pour les cookies strictement nécessaires (article 82 de la loi Informatique et Libertés).

8. Modifications de la présente politique

Aria peut faire évoluer cette politique pour refléter des changements légaux, techniques ou de service. Toute modification substantielle sera notifiée par email au moins 30 jours avant son entrée en vigueur. La date de dernière mise à jour est indiquée en haut de ce document.